Styrket beredskab
og cybersikkerhed
Hvad din virksomhed skal vide om
CER- og NIS2-direktiverne
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.
Denne artikel indeholder
Udgivet december 2024
Introduktion til CER & NIS2
NIS2 (Network and Information Security Directive) og CER (Critical Entities Resilience) er to EU-direktiver designet til at styrke sikkerheden i EU. NIS2 fokuserer på cybersikkerhed, mens CER adresserer fysisk og operationel robusthed. Begge direktiver kræver, at kritiske virksomheder og deres underleverandører styrker deres beredskab og sikkerhed, men med forskellige fokusområder og krav.
70% af danske virksomheder lever kun i mindre grad eller slet ikke op til NIS2 direktivets krav.
Hvad er CER-direktivet?
CER-direktivet handler om fysisk og operationel robusthed. Direktivet pålægger virksomheder i kritiske sektorer at sikre beredskab mod fysiske trusler som naturkatastrofer, terrorisme og forsyningskædeafbrydelser.
Hovedpunkter i NIS2-direktivet
Udvidelse af sektorer og virksomheder: NIS2 gælder nu for flere sektorer og omfatter både kritiske (energi, sundhed, finans) og vigtige sektorer (fx fødevarer og digitale tjenester).
Øgede cybersikkerhedskrav: NIS2 kræver, at organisationer indfører robuste cybersikkerhedstiltag, der er ledelesesmæssigt forankret, såsom risikostyring, teknisk sikkerhed og overvågning. Der skal også være en risikobaseret tilgang, så sikkerhedsindsatsen målrettes mod de største risici.
Rapporteringspligt af hændelser: Virksomheder under NIS2 skal rapportere sikkerhedshændelser hurtigt (inden for 24 timer) til en national myndighed for at sikre hurtig reaktion og koordination.
Samarbejde mellem lande: NIS2 fremmer samarbejde mellem EU-lande gennem fælles netværk for cybersikkerhed og CSIRTs (Computer Security Incident Response Teams).
NIS2-direktivet omfatter krav til ledelsesmæssig styring og forankring, risikostyring og tilhørende sikkerhedsforanstaltninger samt underretningspligt og desuden krav til håndhævelse, tilsyn og tilhørende sanktioner ved mangelfuld efterlevelse.
" Ledelsen får et større ansvar for cybersikkerhed og kan holdes personligt ansvarlig ved grove forsømmelser. "
Krav til underleverandører
NIS2 kræver, at virksomheder også sikrer, at deres underleverandører overholder standarderne for cybersikkerhed.
- Due Diligence: Virksomheder skal evaluere sikkerheden hos deres underleverandører.
- Kontraktuelle krav: Sikkerhedskrav kan blive en del af kontrakten med leverandører.
- Løbende evaluering: Virksomheder skal løbende overvåge, at underleverandører lever op til standarderne for cybersikkerhed.
Overvågning og ansvar
Virksomheder under NIS2 og CER skal føre logfiler og overvåge digitale og fysiske systemer.
Dette hjælper med at opdage mistænkelig aktivitet hurtigt og beskytte virksomheden. HR spiller en vigtig rolle i at balancere sikkerhedsforpligtelser med medarbejderes rettigheder, særligt i henhold til GDPR.
Betydning for HR og ledelsen
Begge direktiver understøtter en “Kend din medarbejder”-tilgang. Baggrundstjek, adgangskontrol og regelmæssig opkvalificering bliver vigtigt for at minimere insidertrusler.
- Baggrundstjek: Direktivernes krav kan gøre baggrundstjek nødvendige for medarbejdere i nøglepositioner.
- Medarbejderuddannelse: For NIS2 indebærer det cybersikkerheds-træning; for CER kan det være træning i fysisk sikkerhed.
- Stram adgangskontrol: Adgang til kritiske systemer og områder bør overvåges og reguleres.
Samlet vurdering
NIS2 og CER giver en bred sikkerheds-forpligtelse, hvor både digitale og fysiske trusler skal håndteres. Begge direktiver har fokus på risikostyring og robusthed, hvilket kræver godt samarbejde mellem HR, IT og sikkerhedsafdelinger.
Disse tiltag sikrer, at virksomheden er godt rustet til både at modstå cyber- og fysiske trusler.
Nysgerrig på mere?
Hvis du er i tvivl om, hvorvidt din virksomhed er omfattet af de nye krav i NIS2-direktivet, kan du med fordel bruge dette værktøj fra Sikker Digital. Det guider dig gennem en række spørgsmål og giver dig hurtigt overblik.
